DORA Compliance für Banken und Finanzdienstleister

Digital Operational Resilience Act – Von der Gap-Analyse bis zur erfolgreichen Umsetzung

Kostenloser DORA Health-Check →

Wo steht Ihr Unternehmen bei DORA?

Kostenloser Health-Check in 10 Minuten + unverbindliches Erstgespräch mit erfahrenen DORA-Beratern

Health-Check starten Erstgespräch vereinbaren
18+ Jahre Finanzsektor Deutsche Bank, ING, SEB 100% unverbindlich

DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 einheitliche Anforderungen an die digitale operationelle Resilienz von Finanzunternehmen stellt. Sie harmonisiert die Anforderungen an IKT-Risikomanagement, Incident Reporting, Resilience Testing und Third-Party Risk Management im gesamten EU-Finanzsektor.

Was ist DORA?

Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung, die am 16. Januar 2023 in Kraft getreten ist und seit dem 17. Januar 2025 vollständig anzuwenden ist. DORA schafft einen einheitlichen europäischen Rechtsrahmen für die digitale operationelle Resilienz im Finanzsektor.

Vor DORA existierten in den EU-Mitgliedstaaten unterschiedliche nationale Regelungen zur IT-Sicherheit in Finanzunternehmen. In Deutschland waren dies vor allem die BAIT (Bankaufsichtliche Anforderungen an die IT) und die MaRisk. DORA harmonisiert diese Anforderungen auf europäischer Ebene und erweitert sie deutlich.

Warum wurde DORA eingeführt?

Der Finanzsektor ist zunehmend von digitalen Technologien abhängig. Cyberangriffe, IT-Ausfälle und Schwachstellen bei Drittanbietern können gravierende Auswirkungen haben – nicht nur für einzelne Institute, sondern für die Stabilität des gesamten Finanzsystems. DORA adressiert diese systemischen Risiken durch:

  • Einheitliche Standards für IKT-Risikomanagement in der gesamten EU
  • Stärkung der Widerstandsfähigkeit gegen Cyberbedrohungen und IT-Ausfälle
  • Regulierung kritischer Drittanbieter wie Cloud-Provider
  • Verbesserter Informationsaustausch über Bedrohungen

Für wen gilt DORA?

DORA hat einen breiten Anwendungsbereich und erfasst nahezu alle Akteure des Finanzsektors. Die Verordnung gilt für:

🏦

Finanzunternehmen

  • Kreditinstitute (Banken)
  • Zahlungsinstitute
  • E-Geld-Institute
  • Wertpapierfirmen
  • Versicherungsunternehmen
  • Rückversicherer
  • Kapitalverwaltungsgesellschaften
  • Ratingagenturen
  • Krypto-Dienstleister
  • Crowdfunding-Plattformen
☁️

IKT-Drittdienstleister

  • Cloud-Service-Provider
  • Software-Anbieter
  • Rechenzentren
  • IT-Outsourcing-Dienstleister
  • Datenanalyse-Anbieter

Kritische IKT-Drittdienstleister unterliegen einer direkten Aufsicht durch die ESAs (EBA, EIOPA, ESMA).

Das Proportionalitätsprinzip

DORA berücksichtigt, dass nicht alle Finanzunternehmen gleich sind. Das Proportionalitätsprinzip erlaubt eine risikoorientierte Umsetzung: Kleinere Institute mit einfacheren Geschäftsmodellen müssen die Anforderungen entsprechend ihrer Größe, ihres Risikoprofils und der Komplexität ihrer Dienste umsetzen.

Allerdings bedeutet Proportionalität nicht Freistellung. Alle Finanzunternehmen müssen DORA einhalten – der Umfang der Maßnahmen variiert jedoch.

Die 5 Säulen von DORA

DORA basiert auf fünf zentralen Themenbereichen, die zusammen einen umfassenden Rahmen für die digitale Resilienz bilden:

1

IKT-Risikomanagement

Der Kern von DORA: Ein robustes Rahmenwerk zur Identifikation, Bewertung und Steuerung aller IKT-bezogenen Risiken.

  • IKT-Risikostrategie und -Governance
  • Identifikation kritischer Funktionen und Assets
  • Schutz- und Präventionsmaßnahmen
  • Erkennung anomaler Aktivitäten
  • Business Continuity Management
  • Backup- und Wiederherstellungsstrategien
2

IKT-Vorfallsmanagement

Strukturierte Prozesse zur Behandlung und Meldung von IKT-bezogenen Vorfällen.

  • Klassifizierung von Vorfällen
  • Meldepflichten an Aufsichtsbehörden
  • Fristen: Erstmeldung innerhalb von 4 Stunden
  • Zwischenbericht nach 72 Stunden
  • Abschlussbericht nach 1 Monat
  • Root-Cause-Analyse
3

Digital Operational Resilience Testing

Regelmäßige Tests zur Überprüfung der Widerstandsfähigkeit.

  • Jährliche Basis-Tests (alle Unternehmen)
  • Schwachstellenanalysen
  • Penetrationstests
  • TLPT alle 3 Jahre (systemrelevante Institute)
  • Szenariobasierte Tests
  • Tests von Drittanbietern einbeziehen
4

IKT-Drittparteienrisiko

Umfassendes Management der Risiken aus Auslagerungen und Drittanbieter-Beziehungen.

  • Vertragliche Mindestanforderungen
  • Informationsregister aller IKT-Dienstleister
  • Risikobasierte Due Diligence
  • Exit-Strategien
  • Konzentrationsrisiken bewerten
  • Überwachung kritischer Drittanbieter
5

Informationsaustausch

Freiwilliger Austausch von Bedrohungsinformationen zur Stärkung der kollektiven Resilienz.

  • Cyber Threat Intelligence teilen
  • Teilnahme an Informationsaustausch-Vereinbarungen
  • Indikatoren für Kompromittierung (IoC)
  • Taktiken, Techniken, Prozeduren (TTP)
  • Datenschutzkonforme Umsetzung

DORA Timeline & Fristen

Dez 2022

Veröffentlichung

DORA wird im EU-Amtsblatt veröffentlicht

Jan 2023

Inkrafttreten

DORA tritt in Kraft, 24-monatige Umsetzungsfrist beginnt

2023-2024

Technische Standards (RTS/ITS)

ESAs erarbeiten detaillierte technische Regulierungsstandards

17. Jan 2025

Anwendungsbeginn

DORA ist vollständig anzuwenden! Alle Anforderungen müssen erfüllt sein.

Apr 2025

Informationsregister

Erstes vollständiges Informationsregister aller IKT-Drittdienstleister fällig

2025-2028

TLPT-Zyklus

Systemrelevante Institute müssen ersten TLPT durchführen

⚠️ Wichtig: DORA ist seit Januar 2025 vollständig anzuwenden. Unternehmen, die noch nicht compliant sind, sollten umgehend handeln, um aufsichtsrechtliche Konsequenzen zu vermeiden.

DORA Umsetzung: Schritt für Schritt

Die Umsetzung von DORA ist ein komplexes Projekt, das strukturiert angegangen werden sollte. Wir empfehlen folgendes Vorgehen:

1

Gap-Analyse durchführen

Erfassen Sie den Ist-Zustand und identifizieren Sie Lücken zu den DORA-Anforderungen. Nutzen Sie unseren kostenlosen DORA Health-Check für eine erste Standortbestimmung.

2

Governance etablieren

Definieren Sie klare Verantwortlichkeiten. Die Geschäftsleitung muss das IKT-Risikomanagement-Rahmenwerk genehmigen und überwachen. Etablieren Sie eine IKT-Risikomanagement-Funktion.

3

Kritische Funktionen identifizieren

Ermitteln Sie Ihre kritischen und wichtigen Funktionen sowie die unterstützenden IKT-Assets. Diese bilden die Grundlage für Schutzmaßnahmen und Resilience Testing.

4

Drittparteien-Register aufbauen

Erstellen Sie ein vollständiges Informationsregister aller IKT-Drittdienstleister. Bewerten Sie Konzentrationsrisiken und kritische Abhängigkeiten.

5

Prozesse implementieren

Etablieren Sie Prozesse für Incident Management, Change Management, Business Continuity und Resilience Testing entsprechend den DORA-Anforderungen.

6

Testprogramm starten

Entwickeln Sie ein risikobasiertes Testprogramm. Führen Sie regelmäßige Schwachstellenanalysen, Penetrationstests und bei Bedarf TLPT durch.

7

Kontinuierlich verbessern

DORA-Compliance ist kein einmaliges Projekt. Etablieren Sie kontinuierliche Überwachung, regelmäßige Reviews und einen Verbesserungsprozess.

Kosten und Aufwand der DORA-Umsetzung

Die Kosten für eine DORA-Umsetzung variieren stark je nach Ausgangssituation, Größe und Komplexität des Unternehmens. Hier eine Orientierung:

Unternehmensgröße Typische Kosten Zeitrahmen Personalbedarf (intern)
Klein (<50 MA) 50.000 – 150.000 € 6-12 Monate 0,5-1 FTE
Mittel (50-500 MA) 150.000 – 500.000 € 12-18 Monate 1-3 FTE
Groß (>500 MA) 500.000 € + 18-24 Monate 3+ FTE

FTE = Vollzeitäquivalent. Die Kosten umfassen externe Beratung, Tools, Schulungen und ggf. technische Maßnahmen. Nicht enthalten sind Kosten für grundlegende IT-Security-Infrastruktur.

Kostentreiber bei der DORA-Umsetzung

  • Ausgangssituation: Unternehmen mit bestehendem ISMS (z.B. ISO 27001) haben Vorteile
  • Komplexität der IT-Landschaft: Viele Legacy-Systeme erhöhen den Aufwand
  • Anzahl Drittanbieter: Jeder IKT-Dienstleister muss dokumentiert und bewertet werden
  • TLPT-Pflicht: Systemrelevante Institute haben höhere Testkosten
  • Dokumentationsaufwand: DORA verlangt umfangreiche Nachweise

Kostenlose Ersteinschätzung

Wo steht Ihr Unternehmen? Unser kostenloser DORA Health-Check gibt Ihnen eine erste Orientierung über Ihren Reifegrad und identifiziert die wichtigsten Handlungsfelder.

DORA Health-Check starten →

DORA vs. NIS2: Was ist der Unterschied?

Viele Finanzunternehmen fragen sich, wie DORA und NIS2 zusammenhängen. Hier die wichtigsten Unterschiede:

Aspekt DORA NIS2
Rechtsform EU-Verordnung (direkt anwendbar) EU-Richtlinie (nationale Umsetzung)
Geltungsbereich Nur Finanzsektor 18 kritische Sektoren
Anwendungsbeginn 17. Januar 2025 18. Oktober 2024 (DE: NIS2UmsuCG)
Fokus Digitale operationelle Resilienz Allgemeine Cybersicherheit
Drittparteien Detaillierte Anforderungen, direkte Aufsicht Allgemeine Lieferkettensicherheit
Testing Spezifische Testanforderungen inkl. TLPT Keine spezifischen Testpflichten

Wichtig für Finanzunternehmen: DORA gilt als lex specialis (spezielleres Gesetz) gegenüber NIS2. Das bedeutet: Wenn Sie DORA einhalten, erfüllen Sie im Wesentlichen auch die NIS2-Anforderungen für den Bereich Cybersicherheit. DORA geht jedoch in vielen Bereichen über NIS2 hinaus.

Warum Niagon für Ihre DORA-Umsetzung?

Schwerpunkt Finanzsektor & regulierte Industrie

Unser Schwerpunkt liegt auf Banken und Finanzdienstleistern – aber auch KRITIS-Betreiber und regulierte Industrieunternehmen profitieren von unserer Expertise in IKT-Risikomanagement und Compliance.

Pragmatischer Ansatz

Keine Theoriehandbücher, sondern umsetzbare Maßnahmen. Wir liefern Ergebnisse, keine PowerPoints.

Ganzheitliche Expertise

DORA, BAIT, MaRisk, NIS2, ISO 27001 – wir verbinden die regulatorischen Anforderungen zu einem kohärenten Rahmenwerk.

Unsere DORA-Leistungen

  • DORA Health-Check: Kostenlose Standortbestimmung mit unserem Online-Assessment
  • Gap-Analyse: Detaillierte Analyse Ihrer aktuellen Compliance-Situation
  • Maßnahmenplanung: Priorisierter Umsetzungsplan mit Aufwandsschätzung
  • Umsetzungsbegleitung: Hands-on Unterstützung bei der Implementierung
  • Prüfungsvorbereitung: Fit für die BaFin-Prüfung
  • Informationsregister: Aufbau und Pflege des IKT-Drittparteien-Registers

Häufige Fragen zu DORA (FAQ)

Was ist DORA?

DORA (Digital Operational Resilience Act) ist eine EU-Verordnung (EU 2022/2554), die seit Januar 2025 einheitliche Anforderungen an die digitale operationelle Resilienz von Finanzunternehmen stellt. Sie regelt IKT-Risikomanagement, Incident Reporting, Resilience Testing und Third-Party Risk Management.

Für wen gilt DORA?

DORA gilt für alle Finanzunternehmen in der EU: Kreditinstitute, Versicherungen, Wertpapierfirmen, Zahlungsinstitute, E-Geld-Institute, Krypto-Dienstleister sowie kritische IKT-Drittdienstleister wie Cloud-Provider.

Was kostet eine DORA Gap-Analyse?

Eine DORA Gap-Analyse kostet typischerweise zwischen 15.000€ und 50.000€, abhängig von der Unternehmensgröße, Komplexität der IT-Landschaft und dem Umfang der Analyse.

Wie lange dauert die DORA-Umsetzung?

Die Umsetzungsdauer variiert: Kleine Institute benötigen typischerweise 6-12 Monate, mittlere Unternehmen 12-18 Monate und große Finanzkonzerne 18-24 Monate für eine vollständige DORA-Compliance.

Was ist der Unterschied zwischen DORA und NIS2?

DORA ist speziell für den Finanzsektor konzipiert und als EU-Verordnung direkt anwendbar. NIS2 ist eine branchenübergreifende Richtlinie für kritische Infrastrukturen, die in nationales Recht umgesetzt werden muss. Für Finanzunternehmen gilt DORA als lex specialis.

Welche Strafen drohen bei DORA-Verstößen?

Bei DORA-Verstößen können Aufsichtsbehörden Bußgelder von bis zu 10 Millionen Euro oder 5% des weltweiten Jahresumsatzes verhängen. Zusätzlich drohen Reputationsschäden und behördliche Maßnahmen bis hin zum Lizenzentzug.

Was sind die 5 Säulen von DORA?

Die 5 Säulen von DORA sind: 1) IKT-Risikomanagement, 2) IKT-Vorfallsmanagement und Meldepflichten, 3) Digital Operational Resilience Testing, 4) Management von IKT-Drittparteienrisiken, 5) Informationsaustausch über Cyberbedrohungen.

Brauchen kleine Banken auch DORA-Compliance?

Ja, DORA gilt für alle Finanzunternehmen unabhängig von der Größe. Allerdings gilt das Proportionalitätsprinzip: Kleinere Institute müssen die Anforderungen entsprechend ihrer Größe, ihres Risikoprofils und der Komplexität ihrer Geschäfte umsetzen.

Was ist TLPT (Threat-Led Penetration Testing)?

TLPT ist ein bedrohungsgeleiteter Penetrationstest, der unter DORA für systemrelevante Finanzunternehmen alle drei Jahre verpflichtend ist. Er simuliert realistische Cyberangriffe basierend auf aktuellen Bedrohungsinformationen und testet die Widerstandsfähigkeit kritischer Systeme.

Wie unterstützt Niagon bei der DORA-Umsetzung?

Niagon bietet einen ganzheitlichen DORA-Beratungsansatz: Kostenloser Health-Check zur Standortbestimmung, detaillierte Gap-Analyse, Erstellung eines Maßnahmenplans, Begleitung der Umsetzung, Vorbereitung auf Prüfungen und kontinuierliche Compliance-Überwachung.

Bereit für DORA?

Starten Sie jetzt mit unserem kostenlosen DORA Health-Check und erfahren Sie in 10 Minuten, wo Ihr Unternehmen steht.